米Adobe Systemsは4月11日(現地時間)、Flash PlayerとReader/Acrobatに未解決の脆弱性が見つかったとして
セキュリティ情報を公開した。既にこの問題を突いた標的型攻撃が発生しているとの情報もある。
同社によると、脆弱性はFlash Playerの10.2.153.1までのバージョン(Windows、Mac、Linux、Solaris向け)、10.2.154.25
までのバージョン(Chrome向け)、10.2.156.12までのバージョン(Android向け)と、Reader/Acrobatのバージョン X(10.0.2)
および10.x/9.xに組み込まれている「Authplay.dll」コンポーネント(Windows、Mac向け)に存在する。
脆弱性を悪用された場合、クラッシュを誘発され、システムを攻撃者に制御される恐れがあるという。危険度は4段階で
最も高い「Critical」に分類している。
現時点で報告されている標的型攻撃では、Microsoft Word(.doc)ファイルにFlash(.swf)ファイルを組み込んで電子メールで
送りつける手口が使われているという。一方、PDFを使った攻撃は今のところ確認されていないとしている。
この問題を解決するためのFlash PlayerとReader/Acrobatのアップデートは、現在リリース日程を調整中だという。ただし
Windows向けのReader Xについては、保護モードにより攻撃コードの実行を阻止できるとして、6月14日に予定している
定例セキュリティアップデートまで解決を先送りする方針。
http://www.itmedia.co.jp/news/articles/1104/12/news015.html